Cyber-Sicherheitsstrategie für Deutschland 2016

Die Bundesregierung hat im Deutschen Bundestag am 11.11.2016 die Cyber-Sicherheitsstrategie für Deutschland 2016 präsentiert (Bundestagsdrucksache 18/10395).

In der Einleitung wird darauf hingewiesen, dass die Digitalisierung in Staat, Wirtschaft und Gesellschaft Deutschland grundlegend verändert. Auch wird von der Politik deutlich gesehen, dass Digitalisierung Chancen eröffnet, aber auch Risiken in sich trägt und ein Vertrauen benötigt, um als wirklicher Fortschritt wahrgenommen zu werden. Mit der Cyber-Sicherheitsstrategie 2016 soll ein ressortübergreifender strategischer Rahmen für die Aktivitäten der Bundesregierung gebildet werden.

Weiterer politischer Ansatzpunkt ist, dass die Cyber-Bedrohungslage in Deutschland zunimmt, komplexer wird und die Bedrohungen sich ständig wandeln. Auch die Verwundbarkeit und das Missbrauchspotenzial im Cyber-Raum sind groß.

Die Bundesregierung sieht insgesamt 4 Handlungsfelder. Im Handlungsfeld 3 soll zukünftig eine leistungsfähige und nachhaltige gesamtstaatliche Cyber-Sicherheitsarchitektur geschaffen werden. Im Handlungsfeld 4 geht es ein aktives Einbringen Deutschlands in die Cyber-Sicherheitspolitik.

Im ersten Handlungsfeld soll Bürgerinnen und Bürgern sowie Unternehmen es ermöglicht werden, in einer digitalisierten Umgebung sicher und selbstbestimmt zu handeln. Dabei soll zum einen die digitale Kompetenz bei allen Anwendern gefördert werden. Ansatzpunkt ist hier unter anderem die Schule und die universitäre Ausbildung. Aber auch die allgemeine Erwachsenenbildung wird hier als Informationsfeld gesehen. Weiterhin soll einer digitalen Sorglosigkeit entgegengewirkt werden. Initiativen wie „Deutschland sicher im Netz e. V.“ sollen noch gestärkt werden.

Auch auf Unternehmen kommen neue Anforderungen zu. Nicht nur bei Bürgerinnen und Bürgern, sondern auch bei Unternehmen soll der digitalen Sorglosigkeit entgegengetreten werden. Als wirksames Mittel wird unter anderem die Bestellung eines IT-Sicherheitsbeauftragten gesehen. Dieser soll die IT-Sicherheitsmaßnahmen in Unternehmen vorantreiben. Die Analogie zum Datenschutzbeauftragten wird im Handlungsfeld 1 von der Bundesregierung deutlich gezogen. Allerdings ist vermutlich der Regierung nicht präsent, dass durch die Änderungen der EU-Datenschutzgrundverordnung neue Aufgaben für Datenschutzbeauftragte hinzukommen. Zukünftig sollen Datenschutzbeauftragte überwachen. Wenn hier der IT-Sicherheitsbeauftragte analog eines Datenschutzbeauftragten für Unternehmen als Pflicht gesehen wird, würde dies in der Konsequenzen auch eine Überwachungspflicht des IT-Sicherheitsbeauftragten bedeuten. Hier fehlt aber noch jegliche gesetzliche Grundlage. Es gibt derzeit keine gesetzliche Pflicht für Unternehmen und auch nicht für Behörden, IT-Sicherheitsbeauftragte zu bestellen. Die Empfehlung der Regierung ist sicherlich gut, bedauerlicherweise wurde beispielsweise im IT-Sicherheitsgesetz und auch in der NIS-Richtlinie nicht vorgesehen, dass verpflichtend IT-Sicherheitsbeauftragte in Unternehmen und Behörden zu bestellen sind.

Weiterhin soll eine sichere elektronische Kommunikation und sichere Web-Angebote geschaffen werden. Dabei wird der Ansatz „Sicherheit durch Verschlüsselung“ weiterhin verfolgt. Wie dies letztendlich praktisch umgesetzt werden soll, bleibt aber unklar. Auch die politische Forderung nach einer sicheren elektronischen Identität ist sicherlich zu befürworten. Ausweißdokumente mit Online-Ausweißfunktion sind ein Weg. Wie dies aber etabliert werden soll, ist ebenfalls unklar.

Weiterhin plant die Bundesregierung die Einführung eines Gütesiegels für IT-Sicherheit. Damit soll ein wichtiges Instrument für die Verbreitung von Cyber-Sicherheitsstandards geschaffen werden. Es soll ein Basis-Zertifizierungsverfahren für sichere IT-Verbraucher-Produkte eingeführt werden. Die Kriterien sollen durch das BSI festgelegt werden.

Es soll zukünftig für Unternehmen und Bürgerinnen und Bürger aufgrund des einheitlichen Gütesiegels möglich sein, das Thema IT-Sicherheit bei der Kaufentscheidung mit zu berücksichtigen. Durch eine entsprechende IT-Sicherheitszertifizierung soll das Thema „Cyber-Sicherheit“ für jedermann verständlich sein und letztendlich leichter realisierbar werden.

Hier sollte politisch die Vernetzung zum IT-Sicherheitsgesetz, zur NIS-Richtlinie und zur EU-Datenschutzgrundverordnung bedacht werden.

Daneben will die Bundesregierung auch die IT-Sicherheitsforschung vorantreiben. Dies insbesondere mit Blick auf Industrie 4.0, Medizintechnik und Mobilität 4.0. Die Schreckensnachricht von Unfällen im Rahmen vom autonomen Fahren sind dabei sicherlich nur ein Aspekt.

Als zweites Handlungsfeld wird eine vertrauensvolle Zusammenarbeit und ein enger Austausch zwischen Staat und Wirtschaft gefordert. So soll die Cyber-Sicherheit in Deutschland auf einem hohen Niveau gewährleistet werden. Zunächst blickt die Politik dabei auf die Sicherung kritischer Infrastrukturen. Die Vorgaben aus dem IT-Sicherheitsgesetz sollen umgesetzt werden und zu einer engen Zusammenarbeit zwischen Staat und kritischen Infrastrukturen führen. Die Bundesregierung wünscht sich hier einen vertrauensvollen Informationsaustausch. Nach wie vor wird von uns hier als Hindernis gesehen, dass das BSI dem Bundesinnenministerium nachgeordnet ist und Unternehmen zu Recht die Sorge haben, dass kritische und sensible Informationen auch von Geheimdiensten und Polizeibehörden gegen den Willen der Wirtschaft genutzt werden.

Geplant ist auch die Ausweitung von Präventions- und Reaktionspflichten auf andere Unternehmen von hoher gesellschaftlicher Relevanz. Hier deutet sich an, was bereits in der Vergangenheit immer wieder ein „Gerücht“ war. Es wird in Zukunft nicht nur ein IT-Sicherheitsgesetz für kritische Infrastrukturen geben, sondern der Gesetzgeber wird auch IT-Sicherheitsvorgaben in gesetzlichen Regelungen für alle Unternehmen festhalten.

Die Bundesregierung sieht dabei auch, dass gerade mittelständische Unternehmen bei dem Thema IT-Sicherheit noch erheblichen Nachholbedarf haben.

Am Schluss des Handlungsfeldes 2 wird noch einmal der kooperative Ansatz gefordert, der bereits im IT-Sicherheitsgesetz Thema war. Insbesondere sollen relevante Lageinformationen zur Abwehr von Cyber-Angriffen zwischen Staat und Wirtschaft ausgetauscht werden.

Insgesamt hat sich die Bundesregierung mit der Cyber-Sicherheitsstrategie für Deutschland 2016 eine Menge vorgenommen. Wir sind gespannt, ob den Planungen dann auch gesetzgeberische Taten und ein Verwaltungshandeln folgen. Im Koalitionsvertrag 2013 war für die Bundesverwaltung als Ziel ausgegeben worden, dass 10 % des IT-Budgets für Sicherheitsmaßnahmen ausgegeben werden sollen. Aus den vielfältigen Diskussionen, die wir mit Seminarteilnehmern führen, erleben wir als Rückmeldung, dass aktuell diese Zielgröße in der Praxis noch nicht erreicht wird.

 
1 Star2 Stars3 Stars4 Stars5 Stars 6 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*